CN101707539B - 蠕虫病毒检测方法、装置和网关设备 - Google Patents
蠕虫病毒检测方法、装置和网关设备 Download PDFInfo
- Publication number
- CN101707539B CN101707539B CN2009102263710A CN200910226371A CN101707539B CN 101707539 B CN101707539 B CN 101707539B CN 2009102263710 A CN2009102263710 A CN 2009102263710A CN 200910226371 A CN200910226371 A CN 200910226371A CN 101707539 B CN101707539 B CN 101707539B
- Authority
- CN
- China
- Prior art keywords
- scanning
- main frame
- source
- worm
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及一种蠕虫病毒检测方法、装置和网关设备。该方法包括:获取源IP地址主机发起的扫描连接信息,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量;对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机。本发明实施例技术方案通过对扫描连接信息进行分析,可有效检测源IP地址主机是否为感染了蠕虫病毒的主机,其具有较高的病毒检测效率和较低的病毒检测误报率。
Description
技术领域
本发明涉及病毒检测领域,特别是涉及一种蠕虫病毒检测方法、装置和网关设备。
背景技术
随着网络技术的快速发展,网络的安全问题已经成为用户和运营商关注的焦点,而蠕虫病毒则是对网络安全最严重的威胁之一。
现有技术中通常采用基于流量信息的方法进行蠕虫病毒的检测,其检测过程如下:首先,通过采集正常流量日志和有蠕虫活动时的流量日志,提取检测蠕虫的特征,得到标定类别的流量日志;其次,利用机器学习算法对标定类别的流量日志进行学习,获得蠕虫检测分类器;最后,将通过网络学习后得到的蠕虫检测分类器部署到网络中,提取网络中的流量信息的特征向量,利用蠕虫检测分类器检测网络的蠕虫活动。现有基于流量信息进行蠕虫病毒的检测中,是假设网络中正常业务的流量处于平稳状态情况下,才有可能根据蠕虫病毒爆发时出现的流量变化而检测出蠕虫病毒;若网络中正常业务流量突然增多时,容易将流量突然增多的正常业务判定也为蠕虫病毒。
发明人在实现本发明的过程中发现现有技术中蠕虫病毒检测时,对于网络中正常业务流量变化较频繁的场合,容易产生误判,导致病毒的误报率高;同时,现有技术基于流量的病毒检测中,网络流量学习及特征向量的提取需要大量的网络数据,数据处理量大,占用的系统资源多,导致处理速度较慢,病毒检测效率低。
发明内容
本发明实施例的目的是提供一种蠕虫病毒检测方法、装置和网关设备,可有效提高蠕虫病毒检测的效率,减少误报率。
为实现上述目的,本发明实施例提供了一种蠕虫病毒检测方法,包括:
获取源IP地址主机发起的扫描连接信息,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量;
对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机。
本发明实施例提供了一种蠕虫病毒检测装置,包括:
信息获取模块,用于获取源IP地址主机发起的扫描连接信息,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量;
分析检测模块,用于对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机。
本发明实施例提供了一种网关设备,包括数据包接收装置和上述的蠕虫病毒检测装置,其中,
所述数据包接收装置,用于从网络中接收源IP地址主机发送的扫描数据包;
所述蠕虫病毒检测装置,用于根据所述扫描数据包获取源IP地址主机发起的扫描连接信息,并对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量。
本发明实施例通过对源IP地址主机发起的扫描连接的扫描连接次数、扫描连接失败率以及扫描端口的连接数量的多个扫描连接信息进行分析,可有效判定源IP地址主机是否为感染蠕虫病毒的主机,其判断过程不受正常业务流量变化的限制,病毒检测效率高,病毒检测的误判率低;同时,病毒检测中仅检测扫描连接信息,数据处理量较小,处理速度快,系统资源的占用率较低,使得整个系统具有较高的病毒检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明蠕虫病毒检测方法实施例一的流程示意图;
图2为本发明蠕虫病毒检测方法实施例二的流程示意图;
图3为本发明实施例中获取源IP地址主机发起的扫描连接信息的流程示意图;
图4为本发明蠕虫病毒检测方法实施例二中判断源IP地址主机是否为感染蠕虫病毒主机的流程示意图;
图5为本发明蠕虫病毒检测方法实施例三中判断源IP地址主机是否为感染蠕虫病毒主机的流程示意图;
图6为本发明蠕虫病毒检测方法实施例四的流程示意图;
图7为本发明蠕虫病毒检测装置实施例一的结构示意图;
图8为本发明蠕虫病毒检测装置实施例二中分析检测模块的结构示意图;
图9为本发明蠕虫病毒检测装置实施例三的结构示意图;
图10为本发明网关设备实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明蠕虫病毒检测方法实施例一的流程示意图。本发明实施例方法包括:
步骤101、获取源IP地址主机发起的扫描连接信息,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量;
步骤102、对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机。
本发明实施例中,可对源IP地址主机发起的扫描探测情况进行收集分析,在一定时间内,获取并统计源IP地址主机发起的扫描次数、扫描连接失败率以及扫描端口的连接数量等扫描连接信息,由于有蠕虫病毒活动时,感染蠕虫病毒的源IP地址主机会频繁的发起更多的扫描探测,从源IP地址主机发起的扫描探测的扫描次数、扫描连接的失败率等将会提高,而扫描探测中具有相同端口号的扫描连接数量也会相应的增多,因此,在预设周期内,通过对源IP地址主机发起的扫描连接中的扫描连接次数、扫描连接失败率以及扫描端口的连接数量等进行分析,如可将扫描连接次数、扫描连接失败率等扫描连接信息与预设的相应阈值进行比较,若均高于相应地预设阈值时,即可判定源IP地址主机是否为感染蠕虫病毒的主机,从而在蠕虫病毒探测阶段即可获得源IP地址主机感染蠕虫病毒的情况,并可将检测后的结果通知相应的病毒处理装置,对源IP地址主机感染蠕虫病毒的情况进行处理,避免蠕虫病毒进一步地扩散。
可以看出,本发明实施例通过对源IP地址主机发起的扫描连接中的扫描连接次数、扫描连接失败率以及扫描端口的连接数量的多个扫描连接信息进行分析,可有效判定源IP地址主机是否为感染蠕虫病毒的主机,其判断过程不受正常业务流量变化的限制,病毒检测效率高,病毒检测的误判率低;同时,病毒检测中仅检测扫描连接信息,数据处理量较小,处理速度快,系统资源的占用率较低,使得整个系统具有较高的病毒检测效率。
图2为本发明蠕虫病毒检测方法实施例二的流程示意图。如图2所示,本发明实施例方法可包括:
步骤201、预设周期内,获取源IP地址主机发起的扫描连接信息,其中,所述扫描连接信息可包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量。
图3为本发明实施例中获取源IP地址主机发起的扫描连接信息的流程示意图。在预设周期内,可对接收到的源IP地址主机发起的所有扫描连接信息进行统计分析,获取相应的扫描连接信息,该扫描连接信息可包括扫描连接次数、扫描连接失败率和扫描端口的连接数量等,具体地,本实施例中,可建立记录源IP地址主机连接信息的源IP列表,在源IP列表中记录相应的扫描连接信息,并通过源IP列表来维护相应的扫描连接信息。如图3所示,获取扫描连接信息可包括以下步骤:
步骤2011、从网络中接收数据包;
步骤2012、判断接收到的数据包是否为扫描数据包,若是,则执行步骤2013,否则,结束;
步骤2013、判断是否存在与发送扫描数据包的源IP地址主机对应的源IP列表,若是,则将源IP地址主机对应的扫描连接次数加1,执行步骤2014,否则,执行步骤2016;
步骤2014、在对应的列表中查找扫描数据包对应的目的IP,判断列表中是否存在目的IP,若是,则执行步骤2015,否则,执行步骤2017;
步骤2015、在对应的列表中查找是否存在扫描数据包对应的扫描端口,若是,则将扫描端口的连接数量加1,结束,否则,执行步骤2018;
步骤2016、添加源IP列表,并将源IP地址主机对应的扫描连接次数设置为1,执行步骤2017;
步骤2017、在源IP列表中添加扫描数据包对应的目的IP,执行步骤2018;
步骤2018、在源IP列表中添加扫描数据包对应的扫描端口。
此外,当源IP地址主机发送的扫描数据包对应的目的IP返回连接确认信息时,可根据返回的确认信息确定该扫描连接是否成功,若成功,还可在上述的源IP列表中添加扫描连接失败率,即将源IP地址主机发起的扫描连接中扫描连接的失败数与总连接数的比值记录在源IP列表中。根据实际的需要,也可在源IP地址列表中记录其它扫描连接信息,如扫描连接中,具有相同扫描端口的扫描连接的扫描连接失败率等。
步骤202、判断预设周期内获取的所述源IP地址发起的所述扫描连接次数、扫描连接失败率和扫描端口的连接数量是否超过预设连接次数阈值、第一预设连接失败率阈值和预设端口连接数量阈值,判断所述源IP地址主机是否为感染蠕虫病毒的主机。
本实施例中,当判断源IP地址发起的所述扫描连接次数、扫描连接失败率和扫描端口的连接数量分别超过预设连接次数阈值、第一预设连接失败率阈值和预设端口连接数量阈值时,则可判断发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机;若所述扫描连接次数、扫描连接失败率和扫描端口的连接数量其中任何一个未超过相应预设的阈值时,则可判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机。其中,所述的扫描连接失败率为所述源IP地址主机发起的所有扫描连接中连接失败数与总连接数的比值。
图4为本发明蠕虫病毒检测方法实施例二中判断源IP地址主机是否为感染蠕虫病毒主机的流程示意图。如图4所示,当预设周期到达时,对扫描连接信息进行分析并判断源IP地址主机是否为感染蠕虫病毒的主机,具体可包括以下步骤:
步骤A1、判断扫描连接信息中扫描连接次数是否超过预设连接次数阈值,若是,则执行步骤A2,否则,判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机,结束;
步骤A2、判断扫描连接失败率是否超过第一预设失败率阈值,若是,则执行步骤A3,否则,判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机,结束;
步骤A3、判断扫描端口的连接数量是否超过预设端口连接数量阈值,若是,则执行步骤A4,否则,判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机,结束;
步骤A4、判断发起扫描连接的所述源IP地址主机是感染蠕虫病毒的主机。
此外,本实施例中,还可获取源IP地址主机发起的扫描连接中,具有相同端口的扫描连接的跨网段数,并可对端口的跨网段数进行判断,作为判断源IP地址主机是否为感染蠕虫病毒的主机的依据。具体地,在上述步骤A3之后,本实施还可包括以下步骤:
步骤A31、获取扫描连接数量超过所述预设端口连接数量阈值的端口,并判断所述端口对应的各扫描连接的跨网段数是否超过预设跨网段数阈值,若是,则执行步骤A4,否则,判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机,结束。
其中,所述的端口对应的各扫描连接的跨网段数为向该端口发起的各扫描连接的跨网段的个数,即向不同IP发起的指向该端口的扫描连接次数。由于蠕虫病毒活动时,感染蠕虫病毒的主机生成的目的IP随意性强,因此,通过对跨网段数进行判断,可进一步地提高蠕虫病毒检测的准确性,降低蠕虫病毒检测的误报率,提高蠕虫病毒的检测效率。
上述步骤A2中,扫描连接失败率为在所述预设周期内源IP地址主机发起的所有扫描连接中,扫描连接失败数与总的扫描连接数的比值,由于蠕虫病毒传播时,扫描连接的失败率将会很高,因此,通过设置第一预设失败率阈值可有效判定源IP地址主机发起的扫描连接是否为蠕虫病毒的扫描探测连接,减少蠕虫病毒检测的误报率。
本发明实施例中,预设周期的时间可以根据实际的需要而设定,可以是用户根据经验获得,如通过对现有的大量的蠕虫病毒的传播特性进行分析,获得最佳的检测周期,并可将该检测周期作为检测蠕虫病毒的预设周期,避免检测周期过长或过短而造成蠕虫病毒检测的不准确或不可靠。同时,所述的预设连接次数阈值、第一预设连接失败率阈值和预设端口连接数量阈值也可是用户通过对网络环境的分析后得到的值,其设定的预设阈值的大小也可以根据网络环境的变化而设定合适的数值。
此外,本发明实施例中,在对预设周期内获取的扫描连接信息进行分析时,可从所述预设周期内所述源IP地址主机发起的最后的扫描连接起,经过预设时间后对所述预设周期内获取的所述源IP地址主机的扫描连接信息进行分析。由于源IP地址主机发起的扫描连接是否可以成功与目的IP地址主机建立连接,一般需要等待一段时间才能收到目的IP地址主机返回的连接确认信息,因此,当预设周期时间内,针对源IP地址主机发起的最后的一次扫描连接,目的IP地址主机可能在该预设周期内没有返回相应的连接确认信息,本发明实施例中设置一预设时间,在等待一段时间后再对获得的扫描连接信息的分析,使得预设周期内的各扫描连接信息的扫描连接失败率的值更加准确可靠,根据扫描连接信息对源IP地址主机是否为感染蠕虫病毒的主机的判断也就更加准确,减少病毒检测的误报率。
图5为本发明蠕虫病毒检测方法实施例三中判断源IP地址主机是否为感染蠕虫病毒主机的流程示意图。与图2和4所示实施例技术方案不同的是,本实施例中,对获取的源IP地址主机发起的各扫描连接信息分析,判断源IP地址主机是否为感染蠕虫病毒的主机,具体可包括以下步骤:
步骤B1、判断扫描连接信息中扫描连接次数是否超过预设连接次数阈值,若是,则执行步骤B2,否则,判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机,结束;
步骤B2、判断扫描端口的连接数量是否超过预设端口连接数量阈值,若是,则获取超过所述预设端口连接数量阈值的端口,执行步骤B3,否则,判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机,结束;
步骤B3、判断超过预设端口连接数量阈值的端口对应的各扫描连接的扫描连接失败率是否超过第二预设连接失败率阈值,若是,则判断发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机,其中,所述扫描连接失败率为所述端口对应的所有扫描连接中连接失败数和总连接数的比值。
此外,本实施例中,也可包括对端口的扫描连接的跨网段数进行分析判断的步骤,以更加准确判断源IP地址主机是否为感染蠕虫病毒的主机,提高蠕虫病毒检测的准确性和可靠性,具体判断过程可参考上述本发明实施例中的步骤A31,在此不再赘述。
本发明实施例中,首先对扫描连接次数和扫描端口的连接数量进行分析判断,获得超过预设端口连接数量阈值的端口后,然后再将该端口对应的扫描连接中的扫描连接失败率与第二预设连接失败率阈值比较,以判断源IP地址主机是否为感染蠕虫病毒的主机,由于只有在蠕虫病毒传播中,相应地扫描端口的连接数量才可能较多,扫描端口相应的扫描连接的扫描连接失败率较高,因此,首先对扫描端口的连接数量进行分析后再判定扫描连接的失败率,可有效提高蠕虫病毒检测的效率,保证蠕虫病毒检测的准确性。
图6为本发明蠕虫病毒检测方法实施例四的流程示意图。本发明实施例中,可对预设检测个数的多个预设周期内的各扫描连接信息分别进行分析,并对各预设周期内的判断结果进行综合分析,判定源IP地址主机是否为感染蠕虫病毒的主机,蠕虫病毒检测的准确性更高,可进一步降低蠕虫病毒检测的误报率。具体地,本发明实施例方法可包括以下步骤:
步骤301、将在预设周期内通过扫描连接信息判断得到的感染蠕虫病毒的源IP地址主机确定为疑似感染蠕虫病毒的主机。
本步骤中,可将预设周期内判断感染蠕虫病毒的源IP地址主机确定为疑似感染蠕虫病毒的主机,其具体判断过程可参考图1、2或4所示的实施例,在此不再赘述。
步骤302、对预设检测个数的预设周期内所判断得到的疑似感染蠕虫病毒的数量进行监测,若所述疑似感染蠕虫病毒的主机的数量超过预设检测阈值,则最后确定所述疑似感染蠕虫病毒的源IP地址主机为感染蠕虫病毒的主机。
本实施例中,可对预设检测个数的预设周期内获得的扫描连接信息进行分析,根据每个预设周期内扫描连接信息判定源IP地址主机是否为感染蠕虫病毒的主机,并将其确定为疑似感染蠕虫病毒的主机,记录判断结果。若在预设检测个数的预设周期内,确定为疑似感染蠕虫病毒的主机的个数超过预设检测阈值时,则可最后确定该疑似感染蠕虫病毒的源IP地址主机为感染蠕虫病毒的主机。其中,所述预设检测阈值可以根据对现有的蠕虫病毒传播时扫描连接的特性进行分析后获得。
由于网络中正常的数据流量的增加,如下载一个P2P种子时,可能会存在多个无效种子,此时,在一个较短时间内,扫描连接的失败连接次数就会较多,失败连接次数可能会达到预设的阈值,若仅根据一个预设周期内,判断在该预设周期内获取的扫描连接信息判断源IP地址主机是否感染病毒时,极易判断源IP地址主机为感染蠕虫病毒的主机,造成对源IP地址主机发起的上述正常业务的误判,因此,本实施通过对多个预设周期的判断结果进行综合分析,可有效避免类似上述正常业务的扫描连接而误判的问题,防止对源IP地址主机的误判,降低误判率,进一步地提高蠕虫病毒检测的准确性和可靠性。
此外,本发明实施例在对预设检测个数的预设周期内的源IP地址主机发起的扫描连接信息进行分析时,当一个预设周期内对扫描连接分析完毕后,可释放获取的扫描连接信息,然后获取下一预设周期内的扫描连接信息及对获取的扫描连接信息的分析,以降低系统资源的占用率,提高系统的工作效率。
本发明实施例中,通过对多个预设周期的判断结果进行分析,当预设检测个数的预设周期内,判断源IP地址主机为疑似感染蠕虫病毒的主机数量超过预设数量时,才将源IP地址主机判断为感染蠕虫病毒的主机,可有效避免对突发的正常业务的误判,进一步地提高了蠕虫病毒检测的准确性和可靠性,极大地降低了蠕虫病毒检测的误报率,可有效防止蠕虫病毒的传播,提高网络数据传输的安全性和可靠性。
上述本发明各实施例中,获取扫描连接信息中,可仅对网络中的icmp扫描包、网络异常包和tcp流的握手数据包进行检测,使得整个病毒检测过程中,数据处理量较低,对整个系统资源的占用率也较低。
图7为本发明蠕虫病毒检测装置实施例一的结构示意图。本发明实施例装置包括信息获取模块1和分析检测模块2,其中,
信息获取模块1,用于获取源IP地址主机发起的扫描连接信息,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量;
分析检测模块2,用于对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机。
本发明实施例可从网络中获取源IP地址主机发起的扫描连接信息,并通过分析检测模块2对获取的扫描连接次数、扫描连接失败率以及扫描端口的连接数量等扫描连接信息进行分析,以判断源IP地址主机是否为感染蠕虫病毒的主机,蠕虫病毒检测效率高,误判率低,且数据处理量小,占用系统资源少,其具体实现过程可以参照上述本发明蠕虫病毒检测方法的各实施例的步骤来实现,在此不再赘述。
本发明实施例通过对源IP地址主机发起的扫描连接的扫描连接次数、扫描连接失败率以及扫描端口的连接数量的多个扫描连接信息进行分析,可有效判定源IP地址主机是否为感染蠕虫病毒的主机,其判断过程不受正常业务流量变化的限制,病毒检测效率高,病毒检测的误判率低;同时,病毒检测中仅检测扫描连接信息,数据处理量较小,处理速度快,系统资源的占用率较低,使得整个系统具有较高的病毒检测效率。
图8为本发明蠕虫病毒检测装置实施例二中分析检测模块的结构示意图。在上述图7所示实施例技术方案基础上,如图8所示,本发明实施例中分析检测模块2可包括分析判断单元21和病毒检测单元22,其中,
分析判断单元21,用于依次判断预设周期内获取的所述源IP地址发起的所述扫描连接次数、扫描连接失败率和扫描端口的连接数量是否超过预设连接次数阈值、第一预设连接失败率和预设端口连接数量阈值;
病毒检测单元22,用于若所述源IP地址发起的所述扫描连接次数、扫描连接失败率和扫描端口的连接数量均超过预设连接次数阈值、第一预设连接失败率和预设端口连接数量阈值时,判断所述发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机,以及用于若所述扫描连接次数、扫描连接失败率和扫描端口的连接数量其中任何一个未超过相应预设的阈值时,则判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机。
本发明实施例中分析判断单元21可依次对扫描连接信息中的各项信息进行分析判断,并由病毒检测单元22对源IP地址主机是否感染蠕虫病毒进行判断,其具体实现过程可通过上述本发明蠕虫病毒检测方法实施例二或实施例三的步骤来实现,在此不再赘述。
图9为本发明蠕虫病毒检测装置实施例三的结构示意图。在上述图7所示实施例技术方案的基础上,本发明实施例还可包括周期分析判断模块3和多周期检测模块4,其中:
周期分析判断模块3,用于将在所述预设周期内通过扫描连接信息判断得到的感染蠕虫病毒的源IP地址主机确定为疑似感染蠕虫病毒的主机;
多周期检测模块4,用于对预设检测个数的预设周期内所判断得到的疑似感染蠕虫病毒的数量进行监测,若所述疑似感染蠕虫病毒的主机的数量超过预设检测阈值,则最后确定所述疑似感染蠕虫病毒的源IP地址主机为感染蠕虫病毒的主机。
本实施例中,在预设检测个数的预设周期内,周期分析判断模块3可将分析检测模块2判断为感染蠕虫病毒主机的源IP地址主机确定为疑似感染蠕虫病毒的主机,并由多周期检测模块4检测,预设检测个数的预设周期内,确定为疑似感染蠕虫病毒的主机的个数是否超过预设检测阈值,若是,则可最终确定对应地源IP地址主机为感染蠕虫病毒的主机。其具体实现过程可通过上述本发明蠕虫病毒检测方法实施例四的步骤来实现,可有效避免网络中正常业务流量变化而造成的误判,减少蠕虫病毒检测的误判率,在此不再赘述。
实际应用中,本发明实施例可应用于安全网关设备上,用于检测网络中的蠕虫病毒,防止蠕虫病毒的传播,提高网络的安全性和可靠性。此外,本发明实施例也可应用于局域网中用于蠕虫病毒检测,其可对从局域网内镜像过来的流量进行检测,实现对内网流量的实时监控,防止蠕虫病毒的传播。
图10为本发明网关设备实施例的结构示意图。本实施例网关设备可包括数据包接收装置10和蠕虫病毒检测装置20,其中:
所述数据包接收装置10,用于从网络中接收源IP地址主机发送的扫描数据包;
所述蠕虫病毒检测装置20,用于根据所述扫描数据包获取源IP地址主机发起的扫描连接信息,并对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量。
本实施例中,数据包接收装置10可实时从网络中接收源IP地址主机发送扫描数据包,并可将接收到的扫描数据包发送给蠕虫病毒检测装置20;蠕虫病毒检测装置20可识别和获得源IP地址主机发起的扫描数据包,并获得源IP地址主机的扫描连接信息,如扫描连接次数、扫描连接失败率、扫描端口的连接数量以及端口的扫描连接的跨网段数等,同时,蠕虫病毒检测装置20可根据在预设周期内获取的扫描连接信息,判断源IP地址主机是否为感染蠕虫病毒的主机。具体地,本实施例蠕虫病毒检测装置20可具有与上述本发明蠕虫病毒检测装置实施例相同的结构和功能,具体地可参考上述本发明蠕虫病毒检测装置实施例的说明,在此不再赘述。
本发明实施例通过对源IP地址主机发起的扫描连接中的扫描连接次数、扫描连接失败率以及扫描端口的连接数量等扫描连接信息进行分析,可有效判定源IP地址主机是否为感染蠕虫病毒的主机,其判断过程不受正常业务流量变化的限制,病毒检测效率高,病毒检测的误判率低;同时,病毒检测中仅检测扫描连接信息,数据处理量较小,处理速度快,系统资源的占用率较低,使得整个系统具有较高的病毒检测效率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (7)
1.一种蠕虫病毒检测方法,其特征在于,包括:
获取源IP地址主机发起的扫描连接信息,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量;
对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机;
所述对预设周期内获取的所述源IP地址主机发起的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机包括:
判断预设周期内获取的所述源IP地址主机发起的所述扫描连接次数、扫描连接失败率和扫描端口的连接数量是否分别超过预设连接次数阈值、第一预设连接失败率阈值和预设端口连接数量阈值,若判断结果均为是,则判断发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机,若所述扫描连接次数、扫描连接失败率和扫描端口的连接数量其中任何一个未超过相应预设的阈值时,则判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机;
其中,所述扫描连接失败率为所述源IP地址主机发起的所有扫描连接中连接失败数与总连接数的比值;
或者,所述对预设周期内获取的所述源IP地址主机发起的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机包括:
判断预设周期内所述源IP地址主机发起的所述扫描连接次数和扫描端口的连接数量是否分别超过预设连接次数阈值和预设端口连接数量阈值,若判断结果均为是,则获取扫描连接数量超过所述预设端口连接数量阈值的端口;
判断所述端口对应的各扫描连接的扫描连接失败率是否超过第二预设连接失败率阈值,若是,则判断发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机,其中,所述扫描连接失败率为所述端口对应的所有扫描连接中连接失败数和总连接数的比率。
2.根据权利要求1所述的蠕虫病毒检测方法,其特征在于,所述扫描连接信息还包括相同端口的各扫描连接的跨网段数,在判断所述扫描端口的连接数量超过预设端口连接数量阈值后,还包括:
获取扫描连接数量超过所述预设端口连接数量阈值的端口,判断所述端口对应的各扫描连接的跨网段数是否超过预设跨网段数阈值,若是,则判断发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机。
3.根据权利要求1或2所述的蠕虫病毒检测方法,其特征在于,还包括:
将在所述预设周期内通过扫描连接信息判断得到的感染蠕虫病毒的源IP地址主机确定为疑似感染蠕虫病毒的主机;
对预设检测个数的预设周期内所判断得到的疑似感染蠕虫病毒的主机的数量进行监测,若所述疑似感染蠕虫病毒的主机的数量超过预设检测阈值,则最后确定所述疑似感染蠕虫病毒的源IP地址主机为感染蠕虫病毒的主机。
4.根据权利要求1所述的蠕虫病毒检测方法,其特征在于,所述对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析包括:
从所述预设周期内所述源IP地址主机发起的最后的扫描连接起,经过预设时间后对所述预设周期内获取的所述源IP地址主机的扫描连接信息进行分析。
5.一种蠕虫病毒检测装置,其特征在于,包括:
信息获取模块,用于获取源IP地址主机发起的扫描连接信息,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量;
分析检测模块,用于对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机;
所述分析检测模块包括:
分析判断单元,用于依次判断预设周期内获取的所述源IP地址发起的所述扫描连接次数、扫描连接失败率和扫描端口的连接数量是否分别超过预设连接次数阈值、第一预设连接失败率和预设端口连接数量阈值;
病毒检测单元,用于若所述源IP地址发起的所述扫描连接次数、扫描连接失败率和扫描端口的连接数量分别超过预设连接次数阈值、第一预设连接失败率和预设端口连接数量阈值时,判断所述发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机,以及用于若所述扫描连接次数、扫描连接失败率和扫描端口的连接数量其中任何一个未超过相应预设的阈值时,则判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机。
6.根据权利要求5所述的蠕虫病毒检测装置,其特征在于,还包括:
周期分析判断模块,用于将在所述预设周期内通过扫描连接信息判断得到的感染蠕虫病毒的源IP地址主机确定为疑似感染蠕虫病毒的主机;
多周期检测模块,用于对预设检测个数的预设周期内所判断得到的疑似感染蠕虫病毒的主机的数量进行监测,若所述疑似感染蠕虫病毒的主机的数量超过预设检测阈值,则最后确定所述疑似感染蠕虫病毒的源IP地址主机为感染蠕虫病毒的主机。
7.一种网关设备,其特征在于,包括数据包接收装置和权利要求5或6所述的蠕虫病毒检测装置,其中,
所述数据包接收装置,用于从网络中接收源IP地址主机发送的扫描数据包;
所述蠕虫病毒检测装置,用于根据所述扫描数据包获取源IP地址主机发起的扫描连接信息,并对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机,所述扫描连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量;
所述对预设周期内获取的所述源IP地址主机发起的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机包括:
判断预设周期内获取的所述源IP地址主机发起的所述扫描连接次数、扫描连接失败率和扫描端口的连接数量是否分别超过预设连接次数阈值、第一预设连接失败率阈值和预设端口连接数量阈值,若判断结果均为是,则判断发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机,若所述扫描连接次数、扫描连接失败率和扫描端口的连接数量其中任何一个未超过相应预设的阈值时,则判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主机;
其中,所述扫描连接失败率为所述源IP地址主机发起的所有扫描连接中连接失败数与总连接数的比值;
或者,所述对预设周期内获取的所述源IP地址主机发起的扫描连接信息进行分析,判断所述源IP地址主机是否为感染蠕虫病毒的主机包括:
判断预设周期内所述源IP地址主机发起的所述扫描连接次数和扫描端口的连接数量是否分别超过预设连接次数阈值和预设端口连接数量阈值,若判断结果均为是,则获取扫描连接数量超过所述预设端口连接数量阈值的端口;
判断所述端口对应的各扫描连接的扫描连接失败率是否超过第二预设连接失败率阈值,若是,则判断发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机,其中,所述扫描连接失败率为所述端口对应的所有扫描连接中连接失败数和总连接数的比率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102263710A CN101707539B (zh) | 2009-11-26 | 2009-11-26 | 蠕虫病毒检测方法、装置和网关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102263710A CN101707539B (zh) | 2009-11-26 | 2009-11-26 | 蠕虫病毒检测方法、装置和网关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101707539A CN101707539A (zh) | 2010-05-12 |
| CN101707539B true CN101707539B (zh) | 2012-01-04 |
Family
ID=42377735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102263710A Expired - Fee Related CN101707539B (zh) | 2009-11-26 | 2009-11-26 | 蠕虫病毒检测方法、装置和网关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101707539B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102572814A (zh) * | 2010-12-27 | 2012-07-11 | 中国移动通信集团上海有限公司 | 一种移动终端病毒监测方法、系统及装置 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457841B (zh) * | 2010-10-28 | 2016-03-30 | 西门子公司 | 用于检测病毒的方法和装置 |
| CN102868685B (zh) * | 2012-08-29 | 2015-04-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种判定自动扫描行为的方法及装置 |
| CN103824017A (zh) * | 2012-11-19 | 2014-05-28 | 腾讯科技(深圳)有限公司 | 监控恶意程序的方法和监控平台 |
| CN103078752B (zh) * | 2012-12-27 | 2016-03-30 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
| CN103997488B (zh) * | 2014-05-06 | 2018-01-05 | 汉柏科技有限公司 | 一种网络攻击的监控方法及系统 |
| CN105429817A (zh) * | 2015-10-30 | 2016-03-23 | 中兴软创科技股份有限公司 | 基于dpi和dfi的非法业务识别装置与方法 |
| CN105491032A (zh) * | 2015-11-30 | 2016-04-13 | 睿峰网云(北京)科技股份有限公司 | 一种僵尸网络发现技术及装置 |
| CN105323259B (zh) * | 2015-12-07 | 2018-07-31 | 上海斐讯数据通信技术有限公司 | 一种防止同步包攻击的方法和装置 |
| CN105634868B (zh) * | 2016-01-21 | 2019-07-09 | 中国科学院信息工程研究所 | 一种网络扫描发包速率探测系统及方法 |
| CN107864128B (zh) * | 2017-10-30 | 2020-11-13 | 深信服科技股份有限公司 | 基于网络行为的扫描检测方法、装置、可读存储介质 |
| CN108768954B (zh) * | 2018-05-04 | 2020-07-10 | 中国科学院信息工程研究所 | 一种dga恶意软件识别方法 |
| CN111245855B (zh) * | 2020-01-17 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| CN113783891B (zh) * | 2021-09-26 | 2023-06-20 | 新华三信息安全技术有限公司 | 一种事件识别方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674530A (zh) * | 2005-04-07 | 2005-09-28 | 西安交大捷普网络科技有限公司 | 一种实时检测网络蠕虫病毒的方法 |
| CN1859199A (zh) * | 2006-02-20 | 2006-11-08 | 华为技术有限公司 | 一种网络蠕虫检测系统及方法 |
| CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
-
2009
- 2009-11-26 CN CN2009102263710A patent/CN101707539B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674530A (zh) * | 2005-04-07 | 2005-09-28 | 西安交大捷普网络科技有限公司 | 一种实时检测网络蠕虫病毒的方法 |
| CN1859199A (zh) * | 2006-02-20 | 2006-11-08 | 华为技术有限公司 | 一种网络蠕虫检测系统及方法 |
| CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102572814A (zh) * | 2010-12-27 | 2012-07-11 | 中国移动通信集团上海有限公司 | 一种移动终端病毒监测方法、系统及装置 |
| CN102572814B (zh) * | 2010-12-27 | 2015-08-19 | 中国移动通信集团上海有限公司 | 一种移动终端病毒监测方法、系统及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101707539A (zh) | 2010-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101707539B (zh) | 蠕虫病毒检测方法、装置和网关设备 | |
| CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| US9264378B2 (en) | Network monitoring by using packet header analysis | |
| EP2953298B1 (en) | Log analysis device, information processing method and program | |
| US8776226B2 (en) | Method and apparatus for detecting SSH login attacks | |
| KR101860395B1 (ko) | 비표준 프로토콜에 대한 화이트리스트 기반의 산업제어시스템 이상행위 탐지 방법 및 탐지 장치 | |
| US7832010B2 (en) | Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus | |
| CN106453299A (zh) | 网络安全监控方法、装置及云端web应用防火墙 | |
| CN101184094A (zh) | 一种适于局域网环境的网络节点扫描检测方法和系统 | |
| CN108931968A (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN110750785B (zh) | 针对主机端口扫描行为的检测方法及装置 | |
| CN110808994B (zh) | 暴力破解操作的检测方法、装置及服务器 | |
| CN101001242A (zh) | 网络设备入侵检测的方法 | |
| CN110224970B (zh) | 一种工业控制系统的安全监视方法和装置 | |
| Svoboda | Network traffic analysis with deep packet inspection method | |
| CN112671759A (zh) | 基于多维度分析的dns隧道检测方法和装置 | |
| CN109831462A (zh) | 一种病毒检测方法及装置 | |
| CN101719906A (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
| US20120163212A1 (en) | Apparatus and method for detecting abnormal traffic | |
| CN104504338A (zh) | 标识、采集、统计病毒传播途径的方法及装置 | |
| CN111131180B (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
| CN101815076B (zh) | 一种内网蠕虫主机检测方法 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| CN102111302B (zh) | 一种蠕虫检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120104 Termination date: 20191126 |